Nhóm mã độc tống tiền kiếm 77 triệu USD trong gần 2 năm, Mỹ treo thưởng 10 triệu USD cho thông tin kẻ cầm đầu

Nhóm hacker này đã nhanh chóng chuyển đổi số tiền kiếm được qua mạng lưới tài khoản tài sản mã hoá phức tạp để tránh bị thu giữ. Thậm chí, chúng còn thuê đội xử lý vấn đề quan hệ công chúng và tuyển dụng nhân sự.

Conti được cho là thế lực lớn trong thế giới ngầm tội phạm mạng. Theo nền tảng phân tích DarkTracer của Singapore, trong số tất cả những công ty công khai là nạn nhân của phần mềm tống tiền, khoảng 20% tương đương 824 doanh nghiệp là nạn nhân của tổ chức hacker này.

Chính phủ Mỹ gần đây đã treo thưởng 10 triệu USD cho thông tin giúp nhận dạng và vị trí của những kẻ cầm đầu Conti.

Với việc Conti đưa ra quan điểm ủng hộ Nga trong cuộc xung đột với Ukraine, các thành viên ủng hộ Kiev đã trả đũa bằng cách tiết lộ dữ liệu nhật ký trò chuyện nội bộ của nhóm. Dữ liệu này kéo dài trong khoảng thời gian từ tháng 6/2020 đến tháng 3/2022, gồm 170.000 tin nhắn được viết hoàn toàn bằng tiếng Nga.

Các đoạn hội thoại có khoảng 350 thành viên tham gia. Trong đó, 35 thành viên đăng nhiều hơn 1.000 tin nhắn, 30% số người tham gia có 100 tin hoặc ít hơn.

Theo Nikkei, Takashi Yoshikawa, chuyên gia phân tích mã độc tại công ty an ninh mạng Mitsui Bussan Secure Directions cho biết những đoạn hội thoại đã cho thấy hậu trường đằng sau các hoạt động phạm pháp của Conti.

“Các đoạn chat có vẻ như nguyên bản”, Yoshikawa cho hay, trong đó có chi tiết về các mục tiêu tấn công cụ thể cũng như mã nguồn virus sử dụng trong các cuộc tấn công.

Vào thời điểm nhật ký trò chuyện bị rò rỉ, Conti có 645 ví kỹ thuật số, chứa tổng cộng 2.321 Bitcoin, trị giá hơn 90 triệu USD. Trong đó, tổ chức này nắm giữ ít nhất 1.953 Bitcoin – hơn 77 triệu USD là tiền chuộc hoặc các chuyển khoản từ các nhóm bên ngoài.

Tài khoản ví tiền gửi nhiều nhất đã nhận được khoảng 23 triệu USD từ tháng 9 đến tháng 11/2020 với nhiều lần chuyển, mỗi lần gần 8 triệu USD. Số tiền này sau đó được giải ngân vào nhiều ví khác nhau.

“Các khoản tiền được chuyển đi trong thời gian ngắn để tránh bị cơ quan chức năng truy vết, sau đó chuyển hoá thành mặt tại các sàn giao dịch hoặc tài sản trên web đen”, Yoshikawa giải thích.

Hoạt động như một doanh nghiệp

Một số thành viên có nhiệm vụ giám sát các công tác chủ chốt như quan hệ công chúng và quản lý nhân sự. Conti đã “xoay tua” sử dụng nhiều thành viên tích cực thành thạo về lập trình và các kỹ năng khác, tương tự như thuê nhân viên hợp đồng.

Trong một số trường hợp, các thành viên không hề biết họ đang tham gia vào các hành vi phạm pháp. Tổ chức này còn thành lập một doanh nghiệp ngầm để hỗ trợ chế độ cho những người có bộ kỹ năng giúp nhóm tổ chức cuộc tấn công thành công.

Các hoạt động của Conti kể từ năm 2020 chỉ là phần nổi của tảng băng chìm những hoạt động tội phạm mạng. Theo công ty an ninh mạng SonicWall, chỉ riêng những cuộc tấn công tống tiền đã tăng gấp đôi trong năm ngoái, lên 623 triệu trường hợp trên toàn cầu. Trong những tháng gần đây, Toyota Motor đã hứng chịu cuộc tấn công khiến chuỗi cung ứng của họ bị tạm dừng một thời gian ngắn.

Công ty an ninh mạng Check Point Software Technologies ước tính, thiệt hại về tài chính gây ra do hệ thống ngừng hoạt động, cùng với tiền thuê luật sư cũng như các chi phí khác gấp khoảng 7 lần so với số tiền phải trả cho hacker.